郭若嫄

美国福特汉姆大学商学院，美国 纽约 10023

以大数据、人工智能、移动互联、云计算、区块链、物联网等为代表的新技术集群广泛应用，带动数字经济、平台经济迅猛发展。伴随着发展而来的网络平台个人信息利用与保护问题，也得到了前所未有的热度和关注度，尤其是个人信息收集、披露、滥用以及“大数据杀熟”等社会负面现象频出，让大众对自身信息安全充满担忧，导致对各网络平台不信任，甚至引发法律纠纷，十分不利于经济社会的健康与和谐发展。本文以《个人信息保护法》规定的个人信息保护范围和处理规则、利益相关者的权利义务和法律责任等为讨论对象，就网络平台合法合规利用用户信息提出可行策略。

一、《个人信息保护法》出台背景

（一）个人信息滥用问题严峻

据中国互联网络信息中心（CNNIC）2021 年8 月27 日发布的《中国互联网络发展状况统计报告》数据显示，截至2021 年6 月，我国网民规模达10.11 亿人，互联网普及率达71.6%，我国已经形成全球最为庞大的数字社会。庞大的个人信息运用到互联网、大数据等领域，激活数字经济发展的同时也产生诸多新问题。例如，2005 年，新浪网站发布一则《网站搜人引擎偷走9000 万份个人资料》的新闻，在一个号称全球最大的搜人引擎UCOOL 上，通过输入姓名查找到符合姓名的人的详细资料，包括联系方式、学习或工作单位、家庭住址等，［1］一度引发了不小轰动和恐慌；2009 年，中国社会科学院发布的《法治蓝皮书》显示，随着信息处理和存储技术不断发展，我国个人信息滥用问题日趋严重［2］，过度收集、擅自披露、盗用滥用、非法买卖用户信息等问题层出不穷；［3］2016 年，美国近8700 万Facebook 用户数据被不正当泄露给为美国总统竞选工作服务的数据公司——J 分析公司，借此操纵舆论、干预总统大选；2020 年，浙江省消保委第三季度受理投诉情况分析中，F 平台两度被点名，分别涉及“大数据杀熟”和宣传与实际不符的问题。网络领域的用户信息合法合理地使用面临极其严峻的挑战，需要法律来保护用户信息的呼声越发响亮，已然成为大众最为关心也最为息息相关的利益问题。

（二）回应信息流通立法潮流

互联网的广泛应用和飞速发展，打破了传统的地域和时空限制，规范信息流通、加强个人信息保护，已经成为全球面临的共性问题。目前，全世界已经有超过100 个国家通过立法的形式加强对个人信息和隐私的保护，其中最具有代表性的当数欧盟在2018 年5 月颁布生效的《通用数据保护条例（GDPR）》。GDPR 对互联网组织收集、分析和管理用户信息权限进行了严格限定和监管，包括信息收集的知情同意权，个人数据访问权、修改权、擦除权、限制处理权，数据携带权和反自动化决策权，［4］同时还设立了独立的监管机构［5］。与欧盟不同但同样具有代表性的是美国的做法，美国诉诸“行业自律+分散立法”的双重路径来保护个人信息，在行业自律维度主要是通过微软等互联网巨头建立个人隐私保护机制，在立法上则是通过制定实施《消费者隐私权利法案》《算法责任法案》等法律发挥作用。我国《个人信息保护法》出台，在一定程度上借鉴了欧盟GDPR 及其他国家和地区的立法思路，同时顺应了全球化背景下我国数字经济发展大趋势、新要求，响亮回应了个人信息保护世界立法的潮流。

（三）前期立法奠定坚实基础

早在21 世纪初，我国便开始针对个人信息保护进行立法探索。2000 年颁布的《全国人大常委会关于维护互联网安全的决定》对侵犯公民通信自由和通信秘密作出规定，首次涉及个人信息保护［6］。2012 年《全国人大常委会关于加强网络信息保护的决定》提出在收集、利用个人电子信息时应当遵守的三大原则，即合法、正当、必要。这三大原则作为基础性原则在之后的立法中均得到延续和体现。2013 年《电信和互联网用户个人信息保护管理规定》对用户个人信息作出明确界定。2016 年《网络安全法》首次以法律形式规范个人信息保护问题，明确了用户对个人信息的更正权、删除权，对“告知—同意”规则进行具体阐述。该法填补了我国在个人信息保护领域的法律空缺，为个人信息保护提供了法律依据，对我国网络安全和数据保护具有里程碑意义。同时，一些法律法规在制（修）订过程中都补充了个人信息保护相关条款［6］，例如，《消费者权益保护法（修订）》《刑法修正案（九）》《民法典· 人格权编》等，但均未形成完整的个人信息保护法律体系。2018 年9 月，《个人信息保护法》首次纳入立法计划，经过3 年的起草修订，于2021 年11 月1 日正式实施，标志着我国首个个人信息层面的立法登上了时代舞台。

二、《个人信息保护法》重点解读

（一）个人信息处理核心原则的确立

个人信息保护建立在规定和限制个人信息处理者行为的前提之上。《个人信息保护法》在继承了三大原则的基础上，增加了诚信、质量、最小范围、目的限制等原则。例如《个人信息保护法》的第五条、第六条以及第七条均彰显了个人信息处理的核心原则。同时，《个人信息保护法》对“告知—同意”规则做出了更为明确具体的规定。《个人信息保护法》的第十七条规定了信息处理者在处理信息前应当以显著的方式，并用清晰易懂的语言履行告知义务并取得同意。

（二）规范个人信息境外效力原则

《个人信息保护法》学习、吸收了2018 年欧盟《通用数据保护条例（GDPR）》关于个人信息保护境外效力的相关提法、做法和经验，在条款中明文规定了个人信息境外效力情形，耦合了国际个人信息保护的境外效力趋势。根据《个人信息保护法》第三条第二款规定，在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，包括以向境内自然人提供产品或者服务为目的的活动（如麦肯锡、波士顿咨询等大型国外咨询公司向境内的自然人提供咨询服务），分析、评估境内自然人的行为的活动（如国际商业机器公司（IBM）发布的用户行为调查报告），以及法律、行政法规规定的其他情形，均适用本法。个人信息境外效力的相关规定，进一步明确和规范了个人信息国际流通的规范性，有效促进国际交流合作和经济全球化健康可持续发展。

（三）规范个人信息自动化决策原则

随着大数据、数据挖掘、人工智能等现代信息技术在个人信息处理中的广泛应用，算法黑箱、信息茧房、羊群效应、大数据杀熟等负面社会现象接踵而至，严重影响了经济秩序。为了扭转局面、维持健康经济秩序，《个人信息保护法》第二十四条明确指出在进行自动化决策时，个人信息处理者应当坚持的原则，即决策的透明度和结果公平、公正，以及不得对个人实行不合理的差别待遇，包括交易价格等交易条件。同时，要求个人信息处理者提供不具有针对性的选项，如在营销信息推送时提供自动化决策信息和非自动化决策信息两个选项，由用户自主选择。《个人信息保护法》赋予了用户拒绝的权利，即对于利用自动化决策作出的结果用户可以要求处理者说明并拒绝那些对自己权益有重大影响的决定，这样能够有效避免信息处理者滥用自动化决策。

（四）定义和建立敏感个人信息处理规则

《个人信息保护法》从人格尊严、人身及财产安全、是否年满十四周岁等三个维度区分了敏感信息和非敏感信息。《个人信息保护法》用单独的一节详细厘定了个人敏感信息的处理原则和方法，例如利用敏感信息必须同时满足以下两个条件：一是具有特定的目的以及充分的必要性，二是采取严格保护措施。满足以上两个条件并不意味着信息处理者可以立即实施处理行为。个人信息处理者要充分告知个人信息处理的必要性及可能影响，取得单独同意后才可实施处理敏感信息行为。这些规则展现了立法者对敏感个人信息的高度重视和严格保护。

（五）明确个人信息处理中个人各项权利

确立信息主体在个人信息处理中享有的各项权利，有助于更好地管理自身信息权益，做好风险预期与防范，同时也有助于个人信息处理者更好地规范和约束自身信息处理行为。基于此，《个人信息保护法》用完整的一章，即第四章（第四十四条至第五十条）厘定了主体的权利，构筑信息主体在个人信息处理活动中的权利大楼，包括知情权、决定权、查询复制权、转移携带权、更正补充请求权、删除请求权以及要求解释说明权七项权利［7］。

（六）严格规定个人信息处理者的各项义务

只有严格监督个人信息处理者履行其在个人信息处理中各项义务，才能更好地保证主体在个人信息处理中的权利。鉴于此，《个人信息保护法》专设一章对个人信息处理者的义务进行了规制。一是规定了安全保障义务，《个人信息保护法》第五十一条从“制定内部管理制度和操作规程、对个人信息实行分类管理……法律及行政法规规定的其他措施”等六项措施来保证处理个人信息行为的合法性和安全性；二是规定了个人信息保护人制度［8］，据第五十二条，处理个人信息达到国家网信部门规定数量的个人信息处理者，应当指定个人信息保护负责人；三是个人信息保护影响评估制度，第五十五条规定了四种需要进行个人信息保护影响评估的具体情形，即敏感信息的处理、进行自动化决策、委托或向其他处理者提供个人信息以及向境外提供信息，并最后利用对个人权利有无重大影响，来评估其他未列举情形是否需要进行评估作为兜底，以保证对个人信息的全面保护；四是规定了大型互联网平台的特殊保护义务，《个人信息保护法》要求其履行“守门人”角色，承担更多的责任，例如由外部成员成立独立机构来进行监督工作，定期发布报告，以接受社会监督［9］。

（七）加强个人信息侵权的法律责任

《个人信息保护法》在《民法典》对侵犯个人信息权益的损害赔偿规则的基础上，进一步加强了对个人信息权益的保护，增加了许多强有力的个人信息保护措施［8］。第一，确立了民事责任、行政责任与刑事责任相结合的多维度、多层次、立体化责任体系；第二，确立个人信息侵害过错推定责任；第三，确立个人信息损害赔偿责任。《个人信息保护法》在罚款相关的规定上也相当严格，其中“处5000 万元以下或者上一年度营业额5%以下罚款”，对比GDPR 的“对轻微罚款营业额2%或1000 万欧元的罚款”，以及“对严重违约罚款全球营业额的4%或2000 万欧元”处罚规则来看，我国的处罚程度与欧盟处在同一个量级，体现了我国对违反个人信息保护制度的严厉处罚以及对个人信息的坚决保护。

三、网络平台合法合规利用用户信息的可行策略

（一）树立信息利用和信息保护“互促双赢”理念

进入以数据资源作为关键生产要素、以现代信息网络作为重要载体、以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力的数字经济时代［10］，是经济、计算机科学技术发展的必然趋势。通过数据挖掘分析把握市场深层次需求，利用精确的推荐算法程序满足差异化、多样化的需求，并指引商品生产规划，动态解决供需失衡问题［11］，从而形成高效稳定供求关系，显著提升市场效率，可以进一步发挥数字经济优势、推动数字经济发展。因此，各网络平台应当树立信息利用和信息保护“互促双赢”的理念，在保护用户个人信息的同时，充分利用这一优点，找到信息保护和信息合理使用之间的平衡，促进盈利增收的同时推动数字经济健康可持续发展。从《个人信息保护法》第一条“为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法”也能看出，信息保护和信息合理利用之间并不是相互对立、互不相容的关系，信息保护是信息合理利用的前提，合理利用信息是信息保护的目的［11］。

（二）把握个人信息处理各项规制

第一，准确认知《个人信息保护法》所提及的基础原则。这些原则不仅反映了立法的指导原理和准则，同时折射出当今社会的价值取向、趋势和要求。因此，平台只有在各项原则的指导下进行个人信息收集、处理等活动，才能建立起平台的公信力，取得民众的信赖，用户才会放心地将个人信息授权给平台使用。

第二，准确识别不同个人信息类型的适用场景。非敏感个人信息、敏感个人信息及不同类型敏感个人信息的适用场景不同，处理方式也应有所区别。例如，人脸识别这种属于生物识别的敏感个人信息，平台在收集、处理时应该以单独、显著的方式征得用户的同意，而且不能以用户拒绝提供面部信息为由而拒绝提供服务。

第三，科学合法使用自动化决策。对几乎所有网络平台来讲，自动化决策解放了生产力。网络平台最常见的自动化决策，是借助数据分析、可视化分析等手段将收集到的大量用户个人信息构建出用户画像，并依托推荐算法向用户进行个性化推荐，预测用户购买行为，影响甚至引导用户的购买决策。在《个人信息保护法》的指导下，网络平台应该提高自动化决策过程中的透明度，给予用户选择是否需要个性化推荐的选择权；对影响用户做出重大决策的场景引入人工审核，并且在有第三方介入的场景时确保第三方系统满足法律的要求；同时，还可在使用用户信息之前将用户个人信息进行加密处理，使处理后的数据无法反向定位、识别到具体用户，借此保护用户的信息。

（三）制定个人信息利用规章制度

从《个人信息保护法》对大体量的互联网平台在用户个人信息保护的要求上来看，平台需建立一套耦合《个人信息保护法》相关规定、符合自身实际的个人信息保护规章制度和完备且高效的数据管理体系与内部监管模式。例如，遵循公开、公平、公正的原则，制定利用规则、过错推定责任认定规则、违规处罚规则，明确平台在个人信息利用中的“利用什么信息、用在哪些地方、如何利用、如何保护、如何约束、如何处理违规利用”；成立专门的个人信息保护小组或团队，明确个人信息保护第一责任人，进行合法合规、隐私保护方案具体实施的监管，并逐步形成稳定健全的监督机制，充分履行个人信息保护“守门人”职责。

四、结语

《中国互联网发展报告2021》显示，2020 年中国数字经济规模达到39.2 万亿，占GDP 比重38.6%并保持了9.7%的高位增速。我国数字经济正以势不可当的姿态阔步而来。各网络平台应结合数字经济发展趋势和规律，主动迎接《个人信息保护法》，在以《个人信息保护法》为核心的网络法律体系下进行自我限定，及时转变经营管理思路和方向，利用好、保护好用户个人信息，定将享受到数字经济的优势，分享到其带来的红利，进而带动我国数字经济健康可持续发展。